CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede heyckendorff Praktikant
15. juli 2004 - 17:21 Der er 3 kommentarer og
1 løsning

Home Search spyware

Jeg har fået en irriterende spyware der hele tiden laver min startside om til: res://rkgci.dll/index.html#37680
Siden der dukker op hedder Home Search og jeg kan ikke komme af med den. Hverken Ad-Aware AVG Antivirus eller Spyboot finder noget mistænkeligt. HiJack this finder den og jeg har prøvet at fjerne alt hvad jeg umiddelbart kunne finde der havde noget med den at gøre. Har også søgt i regestreringsdatabasen hvor jeg fandt to ting der hed noget med Startpage rkgci.dll og Homepage rkgci.dll og har slette dem begge men den bliver ved at dukke op igen. Min seneste HiJackThis log ser således ud:
Logfile of HijackThis v1.97.7
Scan saved at 17:19:16, on 15-07-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~2\GRISOFT\AVG6\avgserv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\d3ar.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~2\GRISOFT\AVG6\avgcc32.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb07.exe
C:\WINNT\system32\hphmon04.exe
C:\Program Files\MSN Apps\Updater\01.02.0000.2693\da\msnappau.exe
C:\PROGRA~1\Logitech\WINGMA~1\Lwpevntm.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINNT\system32\sysec.exe
C:\WINNT\system32\HPHipm11.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINNT\system32\appxy32.exe
C:\WINNT\SYSTEM32\cbfks.exe
C:\WINNT\system32\syscdd2.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\sysec.exe
C:\WINNT\system32\syscdd2.exe
C:\Program Files\3DO\Heroes3\RegisterSOD\Remind32.exe
C:\WINNT\SYSTEM32\devot.exe
C:\WINNT\SYSTEM32\cbfks.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Fra C\Programmer\HiJack This\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\rkgci.dll/sp.html#37680
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://rkgci.dll/index.html#37680
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://rkgci.dll/index.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\rkgci.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://rkgci.dll/index.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\rkgci.dll/sp.html#37680
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0D789A5D-3EB8-F8ED-FA6B-6F6FA212008C} - C:\WINNT\system32\d3ca32.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~2\GRISOFT\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [Lwinst Run Profiler] C:\PROGRA~1\Logitech\WINGMA~1\Lwinst.exe -d -l "C:\PROGRA~1\Logitech\WINGMA~1\Lwpevntm.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [HPHmon04] C:\WINNT\system32\hphmon04.exe
O4 - HKLM\..\Run: [HPHUPD04] "C:\Program Files\HP Photosmart 11\hphinstall\UniPatch\hphupd04.exe"
O4 - HKLM\..\Run: [Updater] "C:\Program Files\MSN Apps\Updater\01.02.0000.2693\da\msnappau.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Overnet] C:\Program Files\Overnet\eDonkey2000.exe -t
O4 - HKLM\..\Run: [Microsoft Synchronization Manager] sysec.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [appxy32.exe] C:\WINNT\system32\appxy32.exe
O4 - HKLM\..\Run: [ICQMsn] C:\WINNT\SYSTEM32\cbfks.exe
O4 - HKLM\..\Run: [ICQ] syscdd2.exe
O4 - HKLM\..\RunServices: [Microsoft Synchronization Manager] sysec.exe
O4 - HKLM\..\RunServices: [ICQ] syscdd2.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Window Washer] C:\PROGRAMMER\Webroot\Washer\wwDisp.exe /startup
O4 - HKCU\..\Run: [Microsoft Synchronization Manager] sysec.exe
O4 - HKCU\..\Run: [ICQ] syscdd2.exe
O4 - Startup: H3 The Shadow of Death(TM).lnk = C:\Program Files\3DO\Heroes3\RegisterSOD\Remind32.exe
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O16 - DPF: {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - http://194.255.127.250/WOCO/applet
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/12119/CTSUEng.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/089cfbcaf6fcaec36418/netzip/RdxIE601.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/zuma/default/popcaploader_v5.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/12119/CTPID.cab

Hvad gør jeg?
Avatar billede jb2003 Nybegynder
16. juli 2004 - 09:05 #1
Hej
http://www.hsremove.com/ download og kør hsremove.exe.
Kør windows update, opdaterer din antivirus. Tøm alle temporary mapper.
Efterfølgende kør spybot og evt adaware.
Avatar billede heyckendorff Praktikant
16. juli 2004 - 22:57 #2
Hejsa
Har allerede kørt HSremove uden resultat
HAr også gjort følgende:
Startet op i fejlsikret tilstand
Kørt HiJackThis og fjernet alle mistænkelige HBO'er
Dernæst kørt About.Buster og ladet den fjerne alle R0'ere og R1'ere som ikke skulle være der.
Dernæst manuelt tjecket registrereingsdatabasen for alle entrys der hedder noget med _NS_service_#
Så søgt i registrereingsdatabasen efter alt der hed det samme som den random.dll som HiJackThis fandt og slette dem manuelt.
Derfter kørt ad-avare som så intet finder.
Så igen kørt såvel About.buster og HiJackThis som heller intet finder.
Men men men...nå jeg så genstarter er den der igen.
Min logfil efter genstart ser f.eks. således ud:
Logfile of HijackThis v1.97.7
Scan saved at 12:42:06, on 16-07-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~2\GRISOFT\AVG6\avgserv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\d3ar.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~2\GRISOFT\AVG6\avgcc32.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb07.exe
C:\WINNT\system32\hphmon04.exe
C:\Program Files\MSN Apps\Updater\01.02.0000.2693\da\msnappau.exe
C:\PROGRA~1\Logitech\WINGMA~1\Lwpevntm.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINNT\system32\HPHipm11.exe
C:\WINNT\system32\sysec.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINNT\SYSTEM32\cbfks.exe
C:\WINNT\system32\syscdd2.exe
C:\WINNT\system32\internat.exe
C:\PROGRAMMER\Webroot\Washer\wwDisp.exe
C:\WINNT\system32\sysec.exe
C:\WINNT\system32\syscdd2.exe
C:\Program Files\3DO\Heroes3\RegisterSOD\Remind32.exe
D:\Fra C\Programmer\HiJack This\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {8BA5AA24-CFC3-8FE8-E181-DF46D25744A6} - C:\WINNT\system32\apirb.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~2\GRISOFT\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [Lwinst Run Profiler] C:\PROGRA~1\Logitech\WINGMA~1\Lwinst.exe -d -l "C:\PROGRA~1\Logitech\WINGMA~1\Lwpevntm.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [HPHmon04] C:\WINNT\system32\hphmon04.exe
O4 - HKLM\..\Run: [HPHUPD04] "C:\Program Files\HP Photosmart 11\hphinstall\UniPatch\hphupd04.exe"
O4 - HKLM\..\Run: [Updater] "C:\Program Files\MSN Apps\Updater\01.02.0000.2693\da\msnappau.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Overnet] C:\Program Files\Overnet\eDonkey2000.exe -t
O4 - HKLM\..\Run: [Microsoft Synchronization Manager] sysec.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [ICQMsn] C:\WINNT\SYSTEM32\cbfks.exe
O4 - HKLM\..\Run: [ICQ] syscdd2.exe
O4 - HKLM\..\RunServices: [Microsoft Synchronization Manager] sysec.exe
O4 - HKLM\..\RunServices: [ICQ] syscdd2.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Window Washer] C:\PROGRAMMER\Webroot\Washer\wwDisp.exe /startup
O4 - HKCU\..\Run: [Microsoft Synchronization Manager] sysec.exe
O4 - HKCU\..\Run: [ICQ] syscdd2.exe
O4 - Startup: H3 The Shadow of Death(TM).lnk = C:\Program Files\3DO\Heroes3\RegisterSOD\Remind32.exe
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/12119/CTSUEng.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/zuma/default/popcaploader_v5.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/12119/CTPID.cab

Jeg fornemmer at det er den her der er problemet:
O2 - BHO: (no name) - {8BA5AA24-CFC3-8FE8-E181-DF46D25744A6} - C:\WINNT\system32\apirb.dll

Jeg har prøvet at lede efter .dll'en med Search men den er ingen steder at finde.
Skal lige til sidst for en god ordens skyld nævne at alle de Removal programmer jeg bruger er de seneste nye, og at CWShredder slet ikke finder noget mistænkeligt
Avatar billede heyckendorff Praktikant
18. juli 2004 - 07:37 #3
sig mig har jeg placeret spørgsmålet et forkert sted eller er jeg for fedtet med pointene siden ingen kommer med løsningsforslag? Eller er der ganske enkelt ingen der ved hvordan man slipper af med den fordømte Hijacker?
Avatar billede heyckendorff Praktikant
18. juli 2004 - 13:11 #4
lukker og opretter nyt
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
pop up black friday Af Malm i Virus 10 22/11/202420:49 23/11/202410:46
Findes der mon et Antivirus program, som ikke, konstant, reklamerer, for at købe ? Af Ikke-ekspert i Virus 21 22/06/202419:22 23/06/202412:54
Anbefaling af antivirusprogram med firewall Af OnePlusFan i Virus 23 07/05/202421:02 13/05/202419:48
trusler Af gerhardpet i Virus 4 26/01/202410:02 27/01/202408:32
Kan ikke fjerne virus Af mik28 i Virus 16 09/01/202416:37 10/01/202419:59
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
51 min siden Sti og filnavn i sidefod Af boro23 i Word
I dag 11:02 Zyxel Multy U netværk Af jcr18 i Wifi
I dag 08:52 DOWNLOAD TIL SAMME MAPPE Af snestrup2000 i Browsere
I dag 00:54 Windows 11 Pro - IIS Af bsn i Windows
I går 18:46 Omdanne stik på router til USB Af valby i Routere & Switches
White papers
Flere white papers »


Premium
Teaser billede
Kunderne raser, og priserne er eksploderet: Alligevel er salget af VMware en kæmpe-succes
Læs mere »
Boghandler er blevet en af Danmarks førende eksperter i Microsoft Teams: "Til at begynde med virkede det fuldstændig uopnåeligt"
Bryder ind i alle typer smartphones: Politiet bruger israelsk hackervåben mod bander
Microsoft hæver priserne på M365: Sådan kommer de nye priser til at ramme
Se alle »
Computerworld
Teaser billede
Stort Microsoft-nedbrud rammer flere kunder: Problemer med Teams og mails
Læs mere »
Test: Den snusfornuftige Volkswagen ID.3 blevet til lidt af el-bisse
Microsofts nye pc er ekstrem billig – men kan blive ekstrem sikker og fleksibel
Kæmpe datalæk på hospital: 750.000 patienters fortrolige data lækket
Se alle »
CIO
Teaser billede
Stort Microsoft-nedbrud rammer flere kunder: Problemer med Teams og mails
Læs mere »
Microsoft hæver priserne på M365: Sådan kommer de nye priser til at ramme
Konsulenthus vil rulle Microsoft 365 Copilot ud til 200.000 ansatte
Microsoft et døgn efter nedbrud: Stadig problemer med Outlook
Se alle »
Job & Karriere
Teaser billede
Microsoft klar med ny direktion for den danske forretning: Her er de nye direktører
Læs mere »
Efter skelsættende møde med sportscoach: Stor dansk it-arbejdsplads indfører fredags-fri og isbade i arbejdstiden
Linus Torvalds giver russiske Linux-udviklere sparket: Vil ikke have noget med dem at gøre
Topchef Sara Green mener, at der er brug for et radikalt nyt syn på it-ledelse - særligt én ny trend hader hun som pesten
Se alle »
White paper
Teaser billede
Vær proaktiv og prioritér IT-sikkerheden – før det er for sent
Læs mere »
Managed Detection & Response: Forsvar din virksomhed mod cybertrusler døgnet rundt
Sådan: Én løsning til compliance, sikkerhed og overblik
Sådan får du overblik og beskytter dine cloudapplikationer
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »